vase21 Опубликовано 18 июня, 2014 Опубликовано 18 июня, 2014 Доброго дня, нужна помощь в удалении троянов с рабочего компа. Обнаружил файл pirritupdate при проверке. Как быть. что делать? выскакивает реклама во всех браузерах
vase21 Опубликовано 20 июня, 2014 Автор Опубликовано 20 июня, 2014 Спасибо После лечения Kaspersky Virus Removal Tool 2011, который удалил три файлика, к сожалению не сохранил названия и и пути к ним (один из них был c названием что-то типа reg.., все они были в папке user/appdata) - реклама пропала. В настройках браузера наконец удалось насовсем убрать галочку использование прокси сервера. Огромная просьба все таки проверить мои логи. Может быть проблема еще частично осталась virusinfo_autoquarantine.zip virusinfo_syscheck.htm virusinfo_syscheck.xml virusinfo_syscheck.zip virusinfo_syscure.htm virusinfo_syscure.xml virusinfo_syscure.zip info.txt log.txt
mike 1 Опубликовано 20 июня, 2014 Опубликовано 20 июня, 2014 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\program files\winrst\winrst.exe'); TerminateProcessByName('c:\users\user\appdata\local\c7ab745211583b225ef046218cf60b31\b9bb4d6680d9337.exe'); SetServiceStart('WinRST', 4); SetServiceStart('b9bb4d6680d9337.exe', 4); StopService('WinRST'); StopService('b9bb4d6680d9337.exe'); QuarantineFile('C:\Users\user\AppData\Local\c7ab745211583b225ef046218cf60b31\RegFltrX86.sys',''); QuarantineFile('C:\Users\user\AppData\Local\77f55af3e02ba2d7c273617e9fedb4b7\694516007e3cdf1.exe',''); QuarantineFile('C:\Users\user\AppData\Local\305c234696b6865f601632318cdd3f64\c035e969523a1de.exe',''); QuarantineFile('c:\program files\winrst\winrst.exe',''); QuarantineFile('c:\users\user\appdata\local\c7ab745211583b225ef046218cf60b31\b9bb4d6680d9337.exe',''); DeleteFile('C:\Users\user\AppData\Local\c7ab745211583b225ef046218cf60b31\b9bb4d6680d9337.exe','32'); DeleteFile('C:\Program Files\WinRST\WinRST.exe','32'); DeleteFile('C:\Users\user\AppData\Local\305c234696b6865f601632318cdd3f64\c035e969523a1de.exe','32'); DeleteFile('C:\Users\user\AppData\Local\77f55af3e02ba2d7c273617e9fedb4b7\694516007e3cdf1.exe','32'); DeleteFile('C:\Users\user\AppData\Local\c7ab745211583b225ef046218cf60b31\RegFltrX86.sys','32'); DeleteService('RegFltrX86'); DeleteService('c035e969523a1de.exe'); DeleteService('694516007e3cdf1.exe'); DeleteService('WinRST'); DeleteService('b9bb4d6680d9337.exe'); DeleteFileMask('c:\program files\winrst', '*', true, ' '); DeleteFileMask('c:\users\user\appdata\local\c7ab745211583b225ef046218cf60b31', '*', true, ' '); DeleteFileMask('C:\Users\user\AppData\Local\77f55af3e02ba2d7c273617e9fedb4b7', '*', true, ' '); DeleteFileMask('C:\Users\user\AppData\Local\305c234696b6865f601632318cdd3f64', '*', true, ' '); DeleteFileMask('C:\Program Files\Pirrit', '*', true, ' '); DeleteDirectory('C:\Program Files\Pirrit'); DeleteDirectory('c:\program files\winrst'); DeleteDirectory('c:\users\user\appdata\local\c7ab745211583b225ef046218cf60b31'); DeleteDirectory('C:\Users\user\AppData\Local\77f55af3e02ba2d7c273617e9fedb4b7'); DeleteDirectory('C:\Users\user\AppData\Local\305c234696b6865f601632318cdd3f64'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:31015 Сделайте новые логи Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\LogsФайл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
vase21 Опубликовано 23 июня, 2014 Автор Опубликовано 23 июня, 2014 Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-1717486784] От кого: newvirus@kaspersky.com Кому: vase21@mail.ru20 июня, 16:31 Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.b9bb4d6680d9337.exeВредоносный код в файле не обнаружен.winrst.exe Новые логи Сообщение от модератора Mark D. Pearlstone Файл virusinfo_autoquarantine.zip удалён. info.txt log.txt virusinfo_syscheck.htm virusinfo_syscheck.xml virusinfo_syscheck.zip virusinfo_syscure.htm virusinfo_syscure.xml virusinfo_syscure.zip
Roman_Five Опубликовано 23 июня, 2014 Опубликовано 23 июня, 2014 Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве не сделали.
vase21 Опубликовано 23 июня, 2014 Автор Опубликовано 23 июня, 2014 Последний лог MBAM-log-2014-06-23 (10-51-11).txt
mike 1 Опубликовано 23 июня, 2014 Опубликовано 23 июня, 2014 RegClean деинсталлируйте. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете). Обнаруженные ключи в реестре: 6 HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято. HKCR\PTM-14.eProtocol (Trojan.WebMoner) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RegClean Pro_is1 (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. HKCU\Software\Conduit\FF (PUP.Optional.Conduit.A) -> Действие не было предпринято. HKCU\Software\Conduit\ValueApps (PUP.Optional.ValueApps.A) -> Действие не было предпринято. HKCU\Software\Systweak\RegClean Pro (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято. Обнаруженные папки: 4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Users\user\AppData\Roaming\systweak\regclean pro (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято. C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1 (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято. Обнаруженные файлы: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro\Register RegClean Pro.lnk (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro\RegClean Pro.lnk (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro\Деинсталлировать RegClean Pro.lnk (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Windows\Tasks\RegClean Pro_UPDATES.job (PUP.Optional.RegCleanerPro.J) -> Действие не было предпринято. C:\Windows\System32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято. C:\Program Files\RegClean Pro\TraditionalCn_rcp_zh-tw.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\isxdl.dll (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\Chinese_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\CleanSchedule.exe (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\Danish_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\Dutch_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\eng_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\Finnish_rcp_fi.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\French_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\German_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\greek_rcp_el.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\Italian_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\Japanese_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\korean_rcp_ko.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\Norwegian_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\polish_rcp_pl.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\portugese_rcp_pt.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\Portuguese_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\RCPUninstall.exe (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\RegCleanPro.dll (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\RegCleanPro.exe (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\russian_rcp_ru.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\Spanish_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\Swedish_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\turkish_rcp_tr.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\unins000.exe (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Program Files\RegClean Pro\xmllite.dll (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Windows\Tasks\RegClean Pro_DEFAULT.job (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято. C:\Windows\System32\roboot.exe (PUP.Optional.PCPerformer.A) -> Действие не было предпринято. C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\ExcludeList.rcp (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято. C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\log_06-18-2014.log (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято. C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\log_06-19-2014.log (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято. C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\log_06-20-2014.log (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято. C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\rcpupdate.ini (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято. C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\results.rcp (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято. C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\russian_rcp_ru.dat (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято. C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\TempHLList.rcp (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. Можно быстрое сканирование сделать. + Подготовьте лог OTL by OldTimer, как описано на этой странице. Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению. Если логи не прикрепляются запакуйте их в архив.
vase21 Опубликовано 23 июня, 2014 Автор Опубликовано 23 июня, 2014 Сделал OTL.Txt Extras.Txt MBAM-log-2014-06-23 (14-32-55).txt
mike 1 Опубликовано 23 июня, 2014 Опубликовано 23 июня, 2014 Запустите повторно OTL by OldTimer или OTL.com или OTL.scr. Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". В окно Custom Scans/Fixes скопируйте следующую информацию: :Commands [CREATERESTOREPOINT] :processes :OTL FF - user.js - File not found O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. [2014.06.09 08:08:37 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Local\06ae952b81faab50d3a0d6cd444a02e8 [2014.06.23 14:14:20 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\systweak :Services :Files recycler /alldrives ipconfig /flushdns /c :Reg :Commands [EMPTYTEMP] [purity] [Reboot] Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix" Компьютер перезагрузится. После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и прикрепите его в следующее сообщение.
vase21 Опубликовано 24 июня, 2014 Автор Опубликовано 24 июня, 2014 Пока не замечено ничего больше. Спасибо
mike 1 Опубликовано 24 июня, 2014 Опубликовано 24 июня, 2014 Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Рекомендуемые сообщения